Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym szybkim przewodniku utworzysz magazyn kluczy w Azure Key Vault przy użyciu Azure CLI. Azure Key Vault to usługa chmurowa, która działa jako bezpieczny magazyn sekretów. Możesz bezpiecznie przechowywać klucze, hasła, certyfikaty oraz inne wpisy tajne. Aby uzyskać więcej informacji na temat usługi Key Vault, możesz zapoznać się z omówieniem. Interfejs wiersza polecenia platformy Azure służy do tworzenia zasobów platformy Azure i zarządzanie nimi za pomocą poleceń lub skryptów. Po zakończeniu tego będziesz przechowywać certyfikat.
Jeśli nie masz jeszcze konta platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.
Wymagania wstępne
Użyj środowiska Bash w usłudze Azure Cloud Shell. Aby uzyskać więcej informacji, zobacz Get started with Azure Cloud Shell.
Jeśli wolisz uruchamiać polecenia referencyjne interfejsu wiersza polecenia lokalnie, zainstaluj interfejs wiersza polecenia platformy Azure. Jeśli korzystasz z systemu Windows lub macOS, rozważ uruchomienie interfejsu wiersza polecenia platformy Azure w kontenerze Docker. Aby uzyskać więcej informacji, zobacz Jak uruchomić interfejs wiersza polecenia platformy Azure w kontenerze platformy Docker.
Jeśli korzystasz z instalacji lokalnej, zaloguj się do interfejsu wiersza polecenia platformy Azure za pomocą polecenia az login. Aby ukończyć proces uwierzytelniania, wykonaj kroki wyświetlane w terminalu. Aby uzyskać inne opcje logowania, zobacz Uwierzytelnianie na platformie Azure przy użyciu interfejsu wiersza polecenia platformy Azure.
Po wyświetleniu monitu zainstaluj rozszerzenie Azure CLI na pierwszy użytek. Aby uzyskać więcej informacji na temat rozszerzeń, zobacz Używanie rozszerzeń i zarządzanie nimi za pomocą interfejsu wiersza polecenia platformy Azure.
Uruchom polecenie az version, aby znaleźć zainstalowane wersje i biblioteki zależne. Aby uaktualnić do najnowszej wersji, uruchom polecenie az upgrade.
- Ten przewodnik szybkiego startu wymaga wersji 2.0.4 lub nowszej Azure CLI. W przypadku korzystania z usługi Azure Cloud Shell najnowsza wersja jest już zainstalowana.
Tworzenie grupy zasobów
Grupa zasobów to logiczny kontener przeznaczony do wdrażania zasobów platformy Azure i zarządzania nimi. Użyj polecenia az group create, aby utworzyć grupę zasobów o nazwie myResourceGroup w lokalizacji eastus.
az group create --name "myResourceGroup" --location "EastUS"
Utwórz magazyn kluczy
Użyj polecenia az keyvault create interfejsu wiersza polecenia platformy Azure, aby utworzyć Key Vault w grupie zasobów z poprzedniego kroku. Konieczne będzie podanie pewnych informacji:
Nazwa magazynu kluczy: ciąg zawierający od 3 do 24 znaków, który może zawierać tylko cyfry (0–9), litery (a-z, A-Z) i łączniki (-)
Ważne
Każdy magazyn kluczy musi mieć unikatową nazwę. Zastąp
<vault-name>ciąg nazwą magazynu kluczy w poniższych przykładach.Nazwa grupy zasobów: myResourceGroup
Lokalizacja: EastUS
az keyvault create --name "<vault-name>" --resource-group "myResourceGroup" --enable-rbac-authorization true
Dane wyjściowe tego polecenia pokazują właściwości nowo utworzonego magazynu kluczy. Zanotuj te dwie właściwości:
-
Nazwa magazynu: nazwa podana do parametru
--name. -
Identyfikator URI magazynu: w tym przypadku identyfikator URI magazynu to
https://<vault-name>.vault.azure.net/. Aplikacje, które korzystają z magazynu za pomocą jego interfejsu API REST, muszą używać tego identyfikatora URI.
Nadawanie kontu użytkownika uprawnień do zarządzania certyfikatami w usłudze Key Vault
Aby uzyskać uprawnienia do magazynu kluczy za pomocą kontroli dostępu opartej na rolach (RBAC), przypisz rolę do głównej nazwy użytkownika (UPN) przy użyciu polecenia az role assignment create interfejsu wiersza polecenia platformy Azure.
az role assignment create --role "Key Vault Certificates Officer" --assignee "<upn>" --scope "/subscriptions/<subscription-id>/resourceGroups/myResourceGroup/providers/Microsoft.KeyVault/vaults/<vault-name>"
Zastąp <upn>, <subscription-id> i <vault-name> rzeczywistymi wartościami. Jeśli użyto innej nazwy grupy zasobów, zastąp "myResourceGroup" również. Nazwa UPN będzie zwykle mieć format adresu e-mail (np. username@domain.com).
Dodawanie certyfikatu do usługi Key Vault
Aby dodać certyfikat do magazynu, wystarczy wykonać kilka dodatkowych kroków. Ten certyfikat może być używany przez aplikację.
Wpisz poniższe polecenia, aby utworzyć certyfikat z podpisem własnym z domyślnymi zasadami o nazwie ExampleCertificate :
az keyvault certificate create --vault-name "<vault-name>" -n ExampleCertificate -p "$(az keyvault certificate get-default-policy)"
Teraz możesz odwołać się do tego certyfikatu dodanego do usługi Azure Key Vault przy użyciu jego identyfikatora URI. Użyj polecenia https://<vault-name>.vault.azure.net/certificates/ExampleCertificate, aby pobrać bieżącą wersję.
Aby wyświetlić wcześniej przechowywany certyfikat:
az keyvault certificate show --name "ExampleCertificate" --vault-name "<vault-name>"
Teraz utworzyłeś usługę Key Vault, zapisałeś certyfikat i pobrałeś go.
Czyszczenie zasobów
Inne szybkie starty i samouczki w tej kolekcji bazują na tym szybkim starcie. Jeśli planujesz korzystać z kolejnych przewodników Szybki start i samouczków, pozostaw te zasoby na swoim miejscu.
Gdy grupa zasobów i wszystkie powiązane zasoby nie będą już potrzebne, możesz użyć polecenia az group delete w interfejsie wiersza polecenia Azure, aby je usunąć.
az group delete --name "myResourceGroup"
Następne kroki
W tym szybkim przewodniku utworzono Key Vault i zapisano w nim certyfikat. Aby dowiedzieć się więcej na temat usługi Key Vault i sposobu jej integracji z aplikacjami, przejdź do poniższych artykułów.
- Przeczytaj omówienie usługi Azure Key Vault
- Zobacz odniesienie dla Azure CLI az keyvault commands
- Przegląd zabezpieczeń usługi Key Vault
- Przegląd najlepszych rozwiązań dotyczących zabezpieczeń specyficznych dla certyfikatów